La réussite ou l'échec d'une analyse forensics dépend fortement de l'expérience que l'on a dans ce domaine. Il y a tellement d'éléments à prendre en considération que personne n'est vraiment à l'abri d'une erreur. Zythom, un expert judiciaire, témoigne très clairement à ce sujet sur son blog [6]. Il doit intervenir sur les ordinateurs d'une entreprise ayant mis la clé sous la porte. Il prépare comme il se doit la mission, mais oublie malgré son expérience une chose primordiale... vérifier qu'il y a bien de l'électricité dans l'entreprise.Pensez à tous les cas de figures qui peuvent se présenter lors d'une analyse forensics est une des difficultés parmi tant d'autres. L'article tentera, par un retour d'expériences, de montrer les problèmes techniques et juridiques qu'il est possible de rencontrer lors des analyses forensics et conseillera sur les démarches à suivre pour y faire face.
Classification des analyses forensics
D'après les différentes missions effectuées, on distingue deux catégories d'analyse forensics :
- L'analyse est spécifique au support informatique et à la problématique du client. La récupération d'event logs effacés sur un Windows 2000 (le support informatique est donc ici un disque dur) et la récupération de SMS effacés sur une carte SIM sont typiquement deux exemples d'analyses forensics complètement distincts de par le support informatique à analyser et la problématique à résoudre.
- L'analyse est « générique », puisqu'une seule problématique existe : prouver qu'il y a intrusion sur le système d'information du client concerné. Quel que soit ce client, l'analyse forensics est toujours méthodologiquement identique et s'effectue toujours avec les mêmes outils : analyse de logs, audit de l'activité sur le système piraté, détection de rootkit et backdoor, etc.
Cette classification n'a évidemment rien...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première